CyberArk Labs Analyse von Ransomware und mögliche Strategien zur Eindämmung RESEARCH CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Einführung Der Name „Ransomware“ bezieht sich auf eine Art von Malware, die darauf ausgelegt ist, Systeme zu infizieren und so viele Dateien wie möglich zu verschlüsseln, wobei die Möglichkeit zur Entschlüsselung der Daten nur gegen Zahlung eines Lösegelds eingeräumt wird. Obwohl dokumentierte Beschwerden über moderne Ransomware bis ins Jahr 2005 zurückreichen, hat die Verbreitung der Malware in letzter Zeit deutlich zugenommen. Allein 2015 wurden rund 407.000 Versuche zur Infektion mit Ransomware durchgeführt und mehr als 325 Millionen USD von den Opfern erpresst. Diese Zahlen dürften im Jahr 2016 weiter steigen . Von Krankenhäusern über Schulen bis hin zu Banken, selbst ein Team des US-Motorsportverbandes NASCAR, fallen Organisationen immer häufiger Ransomware-Angriffen zum Opfer. Die von den Angreifern verlangten Lösegeldsummen können stark variieren. Ein Opfer berichtete von der Forderung eines Bitcoins für jedes infizierte System, zum damaligen Zeitpunkt etwa 450 USD pro Computer . Angesichts der Tatsache, dass sich bestimmte Stämme von Ransomware rasant in einer Umgebung ausbreiten können, kann die Gesamtforderung der Ransomware exponentiell höher als 450 USD sein. Ransomware hat sich aus zwei Gründen zu einem bevorzugten Mittel der Erpressung durch opportunistische Angreifer entwickelt. Erstens sind die Sicherungs- und Wiederherstellungspraktiken vieler Unternehmen unzureichend. Sicherungen erfolgen oftmals nur sporadisch und in zu großen zeitlichen Abständen, was bedeutet, dass Unternehmen bei einer Fremdverschlüsselung und Freipressung ihrer Daten auf Endpunkten und Servern zwei Optionen haben, nämlich ihre Daten für immer zu verlieren oder – hoffentlich – gegen Zahlung von Bitcoins zurückzuerhalten. Zweitens setzen viele Unternehmen auf traditionelle Virenschutzlösungen, die Ransomware oft nicht wirksam blockieren. Diese Lösungen führen eine Bestandsliste bekannter Malware und blockieren die zukünftige Ausführung dieser Programme. Da sich Ransomware-Dateien mit jeder neuen Version leicht verändern und neue Versionen praktisch minütlich erstellt werden, haben herkömmliche Virenschutzlösungen kaum eine realistische Chance, eine Infektion zu verhindern. Dieses Papier dokumentiert die Forschungen von CyberArk Labs zur Untersuchung von Ransomware und Erarbeitung möglicher Eindämmungsstrategien. Eine der wichtigsten Erkenntnisse: Durch den Entzug lokaler Administratorrechte und die Einführung von Richtlinien zur Anwendungskontrolle wurden 100 Prozent der Ransomware-Stichproben an der Verschlüsselung von Dateien gehindert. 1 http://cyberthreatalliance.org/cryptowall-report.pdf 2 http://www.securityweek.com/lechiffre-ransomware-hits-indian-banks-pharma-company 2 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Forschungsansatz Für seine Forschungen benötigte CyberArk echte Proben von Ransomware und eine realistische Testumgebung für Versuche mit der Ransomware. Das Team von CyberArk Labs entwickelte ein spezielles Labor mit echten, physischen Computern und echten Dateien, um der Ransomware die Ausführung und Ausbreitung wie im System eines zum Opfer gefallenen Unternehmens zu ermöglichen. Bisher hat das Team mehr als 23.000 Proben von Schadsoftware getestet und noch immer werden täglich Versuche mit neuen Proben durchgeführt. Unter diesen Proben findet sich Ransomware von über 30 verschiedenen Malware-Familien, wobei die meisten Proben Cryptolocker, Petya und Locky, den am weitesten verbreiteten und berüchtigtsten Ransomware-Familien, entstammen. Angesichts der hohen Zahl der einzelnen Ransomware-Stämme stellen die 23.000 getesteten Proben nur eine kleine Teilmenge der bekannten Ransomware dar. Aufgrund der polymorphen Struktur der Ransomware ist die Stichprobe jedoch äußerst repräsentativ in Bezug auf die Ransomware insgesamt. Obwohl jede neue Ransomware-Datei leicht von ihrer Vorgängerversion abweicht, haben alle Versionen gemeinsame Infektions- und Ausführungsmethoden. Sie verfügen lediglich über verschiedene Dateihashes, um einer Erkennung zu entgehen. Ziel dieser Studie war die Analyse der Verhaltensweisen der getesteten Ransomware-Proben, um besonders wirksame Strategien zur Eindämmung der durch diese Angriffe entstehenden Schäden zu bestimmen. Das Team als solches bewertete die Vorteile und Herausforderungen der folgenden Strategien: Whitelisting von Anwendungen Least-Privilege-Kontrolle Blacklisting von Anwendungen Sicherung und Wiederherstellung Greylisting von Anwendungen DIAGRAMM DER GETESTETEN MALWARE-FAMILIEN – Aktualisiert am 27.07.2016 Abbildung 1. Anzahl der getesteten und analysierten Proben aus jeder Ransomware-Familie OTHER CRYPCTB CRYPWALL CRYPTLOCK CRILOCK CRYPTESLA KOLLAH RansomwareFamilien KOVTER PETYA REVETON MATSNU LOCKY CERBER RANSOM CRYPTOR VIRLOCK 0 500 1000 1500 2000 2500 3000 3500 Anzahl der analysierten Proben 3 4000 4500 5000 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Erkenntnisse: Der Verschlüsselungspfad Vor der Beurteilung möglicher Eindämmungsstrategien versuchte das Forschungsteam zunächst, Erkenntnisse über das typische Verhalten von Ransomware zu erlangen. Abbildung 2 zeigt den typischen Workflow, dem die Mehrheit der Ransomware nach Beginn der Ausführung folgte. Eine interessante Beobachtung: Obwohl die verschiedenen Ransomware-Familien über ähnliche Workflows verfügten, hatten verschiedene Familien verschiedene „Auslöser“ bzw. Aktionen, die zur Ausführung der Ransomware führten. Einige Familien begannen die Ausführung sofort, während andere auf eine Internetverbindung, auf eine Bewegung des Mauszeigers oder die Ausführung einer Microsoft Office-Anwendung warteten. Abbildung 2: Workflow von Dan 1 Initial infection 2 Key Server 3 Scan & encrypt Microsoft files Adobe files 4 Spread when possible image files code files Nachdem die Ausführung der Ransomware ausgelöst wurde, versuchten 90 Prozent der analysierten Proben, zuerst mit einem vom Angreifer verwalteten Schlüsselserver zu kommunizieren, auf dem sich der einzigartige öffentliche Schlüssel zur Verschlüsselung der Dateien auf dem Computer befand. In 20 Prozent aller Fälle schlug die Ausführung der Ransomware fehl, wenn keine Verbindung zu diesem Server hergestellt werden konnte. Dennoch konnten 70 Prozent der Ransomware mit einem öffentlichen Standardschlüssel ausgeführt werden, auch wenn die Übermittlung eines einzigartigen Schlüssels vom Schlüsselserver nicht möglich war. Dieser Ansatz ist für einen Angreifer unter Umständen weniger effektiv, da das Opfer möglicherweise bereits einen Standardschlüssel erworben hat, mit dem es alle entsprechend verschlüsselten Dateien entschlüsseln kann. Bei den verbleibenden 10 Prozent der Proben war der einzigartige öffentliche Schlüssel in der Ransomware-Datei selbst enthalten, wodurch die Notwendigkeit einer externen Verbindung wegfiel. Basierend auf dieser Beobachtung stellte das Forschungsteam fest, dass Unternehmen durch die Verhinderung eines externen Verbindungsaufbaus der Ransomware in der Regel entweder die Ausführung der Ransomware verhindern oder die Angreifer zur Verwendung eines Standardschlüssels zwingen und somit die finanziellen Auswirkungen des Angriffs minimieren können. 4 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Kurven- oder Kreisdiagramm – Abhängigkeit von einzigartigem Schlüssel Abbildung 3: Anteil der von einem einzigartigen Verschlüsselungsschlüssel abhängigen Ransomware 20% Einzigartiger Schlüssel von Schlüsselserver erforderlich; ansonsten Ausführung fehlgeschlagen 70% Einzigartigen Schlüssel von Schlüsselserver angefordert; ansonsten Standardschlüssel verwendet 10 % In Datei eingebetteter einzigartiger Schlüssel erforderlich Anschließend begann die Ransomware mit dem Scannen der infizierten Computer, um nach bestimmten Dateitypen zu suchen. Die Ransomware-Proben suchten unter anderem nach folgenden Dateitypen und -erweiterungen: Microsoft Office-Dateien: .doc, .docx, .xls, .xlsx, .ppt, .pptx Bilddateien: .jpeg, .png, .gif, .bmp, .tiff, .pcx, .emf, .rle, .dib Adobe-Dateien: .pdf, .ai, .psd, .indd, .ps, .eps Code-Dateien: .c, .h, .cpp, .py, .vb Nach dem Aufspüren der Dateien begann die Ransomware mit dem Verschlüsselungsprozess. Einige Ransomware-Familien durchsuchten die Verzeichnisse einzeln methodisch nach Dateien und verschlüsselten diese unmittelbar nach der Entdeckung. In diesen Fällen nahm der gesamte Prozess von der Verschlüsselung bis zur Benachrichtigung nur wenige Sekunden bis Minuten in Anspruch. Andere gingen subtiler vor, um einer Entdeckung zu entgehen. Die Proben innerhalb dieser Familien generierten zuerst eine Liste aller zu verschlüsselnden Dateien und begannen dann den Verschlüsselungsvorgang nach dem Zufallsprinzip, um unter dem Radar der Lösungen zur Bedrohungserkennung des Endpunkts zu bleiben. Während die Ransomware damit beschäftigt war, Dateien zu verschlüsseln, versuchte sie gleichzeitig, die Anzahl der betroffenen Systeme zu maximieren. Hierfür durchsuchte die Ransomware den infizierten Computer nach angeschlossenen Laufwerken, Endpunkten und Servern und verbreitete sich dann so weit wie möglich, um die Anzahl der freizupressenden Systeme zu erhöhen. Dies erfolgte in der Regel auf zwei Arten. Erstens waren die meisten Ransomware-Proben in der Lage, gemeinsam genutzte Laufwerke und Netzlaufwerke zu ermitteln, die über die infizierten Endpunkte zugänglich waren. Wenn das Benutzerkonto Zugriff auf diese Laufwerke hatte, traf dies auch auf die Ransomware zu. Zweitens scannten die Ransomware-Proben häufig nach verbundenen Computern und versuchten, die Anmeldedaten auch für den Zugriff auf diese Computer zu nutzen. War die Anmeldung erfolgreich, konnte sich die Ransomware weiter verbreiten und somit die Gesamtzahl der infizierten Systeme steigern und die Wiederherstellungskosten für das Opfer in die Höhe treiben. Nachdem die Verschlüsselung abgeschlossen war und die Ransomware ihren Versuch unternommen hatte, sich im Netzwerk auszubreiten, erhielten die Benutzer einen Lösegeldhinweis ähnlich dem in Abbildung 4. Um den zum Entschlüsseln der betroffenen Dateien erforderlichen Schlüssel zu erhalten, mussten die Benutzer Lösegeldzahlungen an die Angreifer leisten. In der Regel wurden diese Zahlungen in Bitcoin gefordert. Für Bitcoin-Neulinge richteten einige Angreifer sogar „Helpdesks“ ein, die den Opfern beim Erwerb von Bitcoins und der Übermittlung der Zahlung helfen sollten Abbildung 4: Ransomware-Hinweis für von CTB-Locker infizierte Benutzer 5 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Gemeinsamkeiten aller Ransomware-Familien Während die Proben innerhalb der verschiedenen Ransomware-Familien leicht unterschiedliche Merkmale aufwiesen, hatten alle drei Dinge gemeinsam: Die Ransomware konnte mühelos Computer infizieren Nach der Infektion wurde die überwiegende Mehrheit der Dateien erfolgreich verschlüsselt Die Ransomware-Dateien selbst konnten leicht entfernt werde Infektion Eine der wichtigsten Erkenntnisse war, dass die Ransomware durch herkömmliche Virenschutzsoftware häufig nicht aufzuhalten war. Grund dafür ist, dass herkömmliche Virenschutzprogramme mit bekannten Blacklists arbeiten, was bedeutet, dass eine bestimmte Malware-Datei bereits bekannt sein (also schon mindestens einen Computer infiziert haben) muss, um auf eine Blacklist zu gelangen. Aufgrund der polymorphen Struktur der meisten Ransomware-Familien gleicht keine Probe genau einer anderen. Stattdessen generieren die Angreifer mit jedem neuen Zielopfer schnell eine neue leicht veränderte Version der Malware-Datei, um die Blacklisting-Technologien zu meiden und damit einer Erkennung zu entgehen. Diese einfache Art der Infektion führte das Forschungsteam zu dem Schluss, dass die gängigen Virenschutzbemühungen im Kampf gegen polymorphe Malware nicht ausreichen. Um die Infektion von Computern mit Ransomware zu vermeiden, müssen Unternehmen einen proaktiveren Ansatz für die Sicherheit von Endpunkten und Servern, wie das Whitelisting und/oder Greylisting von Anwendungen, wählen. Verschlüsselung Eine zweite wichtige Erkenntnis: Obwohl zur Ausführung vieler Stämme moderner Malware lokale Administratorrechte erforderlich sind, benötigen einige Ransomware-Stämme keine solchen Rechte. Während 70 Prozent der getesteten Ransomware versuchte, lokale Administratorrechte zu erlangen, schlugen nur 10 Prozent fehl, wenn diese Rechte verwehrt wurden. Dies führte das Forschungsteam zu dem Schluss, dass Unternehmen nicht nur lokale Administratorrechte entziehen, sondern auch proaktiv Anwendungen kontrollieren sollten, um eine Dateiverschlüsselung zu verhindern. So fand das Team von CyberArk Labs etwa heraus, dass die durch Ransomware verursachte Dateiverschlüsselung in 100 Prozent der Fälle verhindert werden kann, wenn Berechtigungen zum Lesen, Schreiben und Ändern von Dateien durch unbekannte Anwendungen verwehrt und lokale Administratorrechte entzogen werden. Entfernung Im Gegensatz zu einigen Stämmen hochentwickelter Malware, die sich häufig nur schwer lokalisieren und entfernen lässt, waren die analysierten Ransomware-Proben nach ihrer Erkennung und Lokalisierung leicht entfernbar. Dies bedeutet, dass Opfer von Ransomware-Angriffen, die ihre Daten proaktiv sichern, die Auswirkungen von Ransomware deutlich reduzieren und vermeiden können, sich zwischen der Zahlung eines hohen Lösegeldes und einem dauerhaften Datenverlust entscheiden zu müssen. Stattdessen können diese Unternehmen bei einer Verschlüsselung ihrer Daten die Ransomware-Dateien auf den infizierten Computern lokalisieren und aus dem System entfernen und anschließend die verschlüsselten Dateien aus der Sicherung wiederherstellen. Folglich kann die proaktive Sicherung von Dateien auf Endpunkten und Servern helfen, die durch Ransomware verursachten Schäden zu minimieren. Durch die häufige Sicherung wichtiger Daten wird die Beseitigung der Folgen von Ransomware-Angriffen deutlich einfacher. Gleichzeitig lässt sich das Ausmaß der durch diesen Malware-Stamm verursachten Schäden begrenzen. 6 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Bewertung von Eindämmungsstrategien Bevor eines oder mehrere Verfahren zur Eindämmung der Risiken von Ransomware gewählt werden kann, sollten Unternehmen die Vorteile und Herausforderungen der einzelnen Optionen abwägen. In diesem Abschnitt werden die von CyberArk Labs bewerteten und getesteten Eindämmungsstrategien sowie ihre Vor- und Nachteile beschrieben. Whitelisting von Anwendungen Die Studie hat gezeigt, dass das Greylisting von Anwendungen zusammen mit dem Entzug lokaler Administratorrechte zu 100 Prozent wirksam bei der Verhinderung der Dateiverschlüsselung durch Ransomware war. Das Whitelisting von Anwendungen ist naturgemäß zu 100 Prozent wirksam im Kampf gegen Ransomware, da bei diesem Verfahren alle Anwendungen blockiert werden, die nicht explizit vertrauenswürdig sind. Obwohl Ransomware-Angriffe mit dieser Eindämmungsstrategie äußerst wirksam verhindert werden können, ist sie in der Praxis nur schwer umzusetzen. Für ein effektives Whitelisting von Anwendungen müssen IT-Teams genau wissen, welche Anwendungen und Anwendungsversionen jeder einzelne Benutzer und jedes System im Unternehmen braucht, und jede einzelne Anwendungsversion muss vom IT-Team explizit auf die Whitelist gesetzt werden. Das Whitelisting von Anwendungen mag ein optimaler Ansatz für Server sein, die in der Regel statisch sind. Auf dynamischen Benutzerendpunkten hingegen, die oftmals eine Vielzahl von Geschäftsanwendungen erfordern, kann dieser Ansatz die Produktivität der Benutzer zum Erliegen bringen. Blacklisting von Anwendungen Mit diesem Ansatz können Unternehmen die Ausführung bekannter Malware (d. h. Malware, die bereits mindestens einen Computer infiziert hat) in ihrer Umgebung verhindern. Während hiermit ältere Versionen von opportunistischer Malware erkannt und blockiert werden können, ist diese Methode äußerst unwirksam beim Schutz vor Ransomware. Jeden Tag werden Tausende von neuen Ransomware-Versionen veröffentlicht, womit herkömmliche Blacklists schlichtweg überfordert sind . In der Folge stellte das Forschungsteam fest, dass das Blacklisting von Anwendungen zwar eine allgemein bewährte Methode darstellt, zur Erkennung oder Verhinderung von Ransomware aber nicht ausreicht. Greylisting von Anwendungen Dieser Ansatz erlaubt es Unternehmen, die Ausführung bekannter Malware auf Blacklists in ihren Umgebungen zu verhindern und gleichzeitig die Berechtigungen für alle Anwendungen, die nicht explizit vertrauenswürdig sind, zu begrenzen. Der Ansatz bietet also mehr Flexibilität als das Whitelisting und kann dazu dienen, Aktionen unbekannter Anwendungen, wie das Herstellen einer Internetverbindung und das Lesen, Schreiben oder Ändern von Dateien, zu verhindern. Ohne Internetzugriff war die Ransomware nicht in der Lage, auf ihren Schlüsselserver zuzugreifen. Dies führte dazu, dass 20 Prozent der Ransomware sofort unwirksam und 70 Prozent gezwungen waren, die Verschlüsselung mit einem Standardschlüssel zu versuchen. Hinzu kommt, dass durch die Beschränkung der Berechtigungen zum Lesen, Schreiben und Ändern von Dateien die Ransomware nicht in der Lage war, Dateien aufzurufen und zu verschlüsseln. Beim Testen dieses Ansatzes mit den Ransomware-Proben verzeichnete das Team von CyberArk Labs eine Erfolgsquote von 99,97 Prozent im Hinblick auf die Verhinderung der Dateiverschlüsselung, wenn der infizierte Benutzer über lokale Administratorrechte verfügte. Waren keine Administratorrechte vorhanden, lag die Erfolgsquote bei 100 Prozent. 3 http://www.businessinsider.com/fighting-ransomware-with-antivirus-2016-1 7 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Least-Privilege-Kontrolle Dieser Schritt ist nicht nur eine Sicherheitsroutine, sondern gilt auch als einer der „Zehn unveränderlichen Gesetze zur Sicherheit“ von Microsoft. Interessanterweise stellte das Team von CyberArk Labs fest, dass der Entzug lokaler Administratorrechte zwar häufig Wirkung im Kampf gegen einen Großteil moderner Malware zeigt, allein jedoch nur bei 10 Prozent der analysierten Ransomware-Proben funktionierte. Durch diese Beobachtung wird noch einmal deutlich, wie wichtig der Entzug lokaler Administratorrechte in Kombination mit der Kontrolle von Anwendungen ist. Bevor sie lokale Administratorrechte vollständig entziehen, sollten Unternehmen aber unbedingt ihre Umgebung analysieren, um mögliche mit diesem Schritt verbundene Produktivitätsprobleme zu erkennen. Einige legitime Geschäftsanwendungen und Aufgaben erfordern Administratorrechte, um ordnungsgemäß zu funktionieren, weshalb sich der sofortige Entzug dieser Berechtigungen ohne Ausnahmeregeln für erforderliche Aufgaben negativ auf den Geschäftsbetrieb auswirken kann. Sicherung und Wiederherstellung Die Datensicherung sollte Bestandteil der Disaster-Recovery-Strategie jedes Unternehmens sein. Eine automatisierte Sicherung gewährleistet, dass die gesicherten Dateien vollständig und aktuell sind. Die Dateisicherung kann Ransomware-Angriffe nicht verhindern, aber den dadurch entstehenden Schaden deutlich reduzieren. Anstatt einer Lösegeldzahlung zur Entschlüsselung der betroffenen Daten können Unternehmen diese einfach aus der letzten Sicherung wiederherstellen. Sie sollten die Kosten für die Sicherung und Speicherung gegen die Kosten eines Datenverlustes mit Wiederherstellungsmaßnahmen abwägen und zu sichernde Dateien oder Vermögenswerte je nach Risikotoleranz und Budget des Unternehmens priorisieren. Empfehlungen Auf der Grundlage seiner Studie empfiehlt das Team von CyberArk Labs die Anwendung der folgenden Eindämmungsmaßnahmen, um die mit Ransomware verbundenen Risiken ohne negative Auswirkungen auf die Produktivität des Unternehmens zu senken. Führen Sie eine Greylist für Anwendungen auf Benutzerendpunkten ein, um unbekannte Anwendungen (z. B. neue Ransomware-Instanzen) daran zu hindern, auf das Internet zuzugreifen und die zur Verschlüsselung Ihrer Dateien erforderlichen Lese-, Schreib- und Änderungsberechtigungen zu erlangen. Führen Sie eine Whitelist für Anwendungen auf Servern ein, um die Sicherheit dieser Vermögenswerte zu maximieren. Entziehen Sie lokale Administratorrechte von Standardbenutzerkonten, um die Angriffsfläche zu reduzieren. Lassen Sie die Kontoberechtigungen für bestimmte legitime Aufgaben automatisch erweitern, damit die Benutzer produktiv bleiben, ohne über unnötige Berechtigungen zu verfügen. Nutzen Sie Virenschutzprogramme, um sich vor allgemeiner und bekannter Malware zu schützen. Sichern Sie die Daten von Endpunkten und Servern häufig, um eine effektive Disaster Recovery zu gewährleisten. Für die besten Ergebnisse empfiehlt CyberArk Labs Unternehmen die Bewertung ihrer Umgebungen, um alle Endpunkte und Server mit sensiblen oder wichtigen Dateien zu lokalisieren. Nach dem Whitelisting von Anwendungen auf statischen Servern sollten Unternehmen bestimmen, welche Dateitypen auf Endpunkten die wichtigsten Informationen enthalten (z. B. XLSX, PPTX, PDF usw.). Eine solche Bewertung kann Unternehmen bei der Ermittlung besonders wichtiger Dateitypen unterstützen und helfen, effektive Greylisting-Richtlinien zu erstellen, um diese Dateitypen vor unbekannten Anwendungen zu schützen. 8 CYBERARK LABS RESEARCH: ANALYSE VON RANSOMWARE UND MÖGLICHE STRATEGIEN ZUR EINDÄMMUNG Fazit Nach dem Analysieren und Testen von mehr als 23.000 Proben von Ransomware hat CyberArk Labs nachgewiesen, dass ein alternativer, proaktiver Sicherheitsansatz wirksam beim Schutz vor Ransomware sein und dadurch die negativen Folgen dieser Art von Angriff deutlich minimieren kann. Neben dem Entzug lokaler Administratorrechte von Standardbenutzerkonten und einer regelmäßigen Datensicherung, beides gängige Verfahren im IT-Bereich, sollten Unternehmen auch einen Greylist-Ansatz für die Anwendungskontrolle auf Endpunkten in Betracht ziehen. Mit einem solchen Ansatz können Unternehmen unbekannte Anwendungen, die weder explizit vertrauenswürdig sind noch auf einer Blacklist stehen, daran hindern, auf das Internet zuzugreifen und die Berechtigungen zum Lesen, Schreiben und Ändern bestimmter Dateitypen zu erlangen. Somit können sich Unternehmen auf den Schutz ihrer Dateien – dem Ziel bösartiger Anwendungen – konzentrieren, anstatt sich nur auf die potenzielle Erkennung polymorpher Malware zu verlassen, was in der Praxis ein sehr kompliziertes Unterfangen ist. Bei den Versuchen im CyberArk Lab erwies sich die Kombination aus Greylisting von Anwendungen und Entzug lokaler Administratorrechte als zu 100 Prozent wirksam bei der Verhinderung des Zugriffs auf geschützte Dateitypen und deren Verschlüsselung durch Ransomware. 9 ÜBER CYBERARK LABS CyberArk Labs ist ein Team von Experten für Cyber-Sicherheit, die gezielte Angriffe auf Firmennetzwerke, die Methoden, Werkzeuge und Verfahren der Angreifer sowie die Methoden und Verfahren zur Erkennung und Eindämmung solcher Angriffe erforschen. US HEADQUARTERS CyberArk 60 Wells Avenue Newton, MA 02459 1-888-808-9005 or (617) 965-1544 All rights reserved. This document contains information and ideas, which are proprietary to CyberArk Software Ltd. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording, scanning or otherwise, without the prior written permission of CyberArk Software Ltd. ©2015 CyberArk Software Ltd. | www.CyberArk.com